私隱同創新之間嘅平衡(第一部分)
Data而家被認為同石油一樣珍貴,但我哋大部分人唔了解咩係個人data、邊個擁有佢、或者我哋有咩權利。
喺進入今日嘅main topic之前,我哋先講下背景。縱觀歷史,人類重視唔同嘅資源。喺農業革命時代,土地被認為極其重要。喺工業時代,係機器、煤炭然後係石油。而家,喺21世紀,學者、記者同行業領袖一直喺講data就係新石油。全球市值最高嘅公司中,好多係科技公司,佢哋都擁有大量關於全球消費者嘅data。通常嘅名字有:
- 東方:Alibaba、Tencent、Baidu、Flipkart
- 西方:Google、Microsoft、Amazon、Facebook、IBM、Apple
世界經濟論壇嘅報告第四次工業革命中嘅data政策提供咗另一個角度:「喺世界經濟論壇,我哋更傾向將data視為驅動第四次工業革命之火嘅氧氣。佢隨處可得且必不可少,但如果使用不當,可能會產生危險同不受歡迎嘅結果。」
鑑於「data」嘅重要性,我正喺度自學呢個topic,呢篇文章係關於data私隱系列嘅第一篇。因為我唔係呢方面嘅專家,我會_綜合_我學到嘅嘢並提供來源link。 今日,我哋會討論3個主要問題:
- 咩係個人data?
- 邊個擁有佢?—— 一個微妙嘅答案
- 你有咩權利?
咩係個人data?
到目前為止,我發現歐盟喺GDPR法規中使用嘅定義最全面。
「『個人data』指與已識別或可識別嘅自然人(『data主體』)相關嘅任何資訊;可識別嘅自然人係指可以直接或間接地被識別嘅人,特別係通過姓名、識別號碼、位置data、線上識別碼等標識符,或者通過與該自然人嘅身體、生理、基因、精神、經濟、文化或社會身份相關嘅一個或多個因素。」 佢哋仲喺呢度提供咗個人data嘅例子:
- 電郵地址(yourname@company.com)
- 互聯網協議(IP)地址
- Cookie ID(通常喺你嘅瀏覽器上搵到)
- 你手機嘅廣告識別碼
其他例子可以包括:
- 你嘅私人通訊:你嘅email/私人訊息內容
- 你嘅財務記錄(銀行餘額、交易、報稅)
- 教育記錄(你讀邊間學校、你嘅成績)
- 醫療記錄
- 生物識別data(指紋、你嘅面容)等
雖然我只列舉咗幾個例子,但要注意嘅係,唔同國家/地區有超過_100部現行嘅data保護法律_。
Singapore個人data保護委員會:「個人data指關於可從該data識別嘅個人嘅data,無論真實與否;或者可從該data同該機構已有或可能有嘅其他資訊識別嘅個人。Singapore嘅個人data受2012年個人data保護法(PDPA)保護。」
邊個擁有佢?
好多人最直接嘅答案係:呢啲係我嘅data,所以我擁有佢。但現實生活中,情況比呢個更微妙。
政府同公共機構記錄
喺好多國家,政府保存咗大量關於公民嘅data,如出生證明、身份證(呢啲本身就係政府發畀公民嘅)、生物識別data等。 India政府去年實施咗全球最大規模嘅生物識別身份計劃之一,涵蓋約10億人。
有趣嘅係,今年達沃斯論壇喺「為AI競賽制定規則」嘅討論中,India政府嘅一位代表提到data屬於公共實體/政府。政府可以允許公共/私人實體access個人data。
當你旅行(或申請簽證)嘅時候,好多國家要求你提交生物識別data。當你提交data並簽署咗文件之後,你好可能已經開始同嗰啲外國政府分享你嘅生物識別data。
觀察到嘅同推斷/預測嘅data
世界經濟論壇嘅報告第四次工業革命中嘅data政策提出我哋需要考慮context。對_觀察到_嘅data/_推斷_嘅data嘅擁有權問題,答案唔係咁直接。
「觀察到嘅data:互聯網瀏覽偏好、監控影片、通話詳細記錄等。
推斷嘅data:信用評分、消費者檔案、預測性交通流量、傳染病傳播模式、定向廣告等。
喺我哋嘅日常生活中,我哋使用唔同嘅服務,留低好多「觀察到嘅data」畀唔同嘅企業。咁呢啲企業係咪擁有呢啲data?由醫院、航空公司、餐廳到你嘅ride-sharing服務都有。喺廣告界,企業通常將呢類data稱為第一方data,似乎意味住佢哋可以使用。但係佢哋可以嗎?如果你用歐盟GDPR對個人data嘅定義,只要呢啲data可以用嚟識別一個人,嗰個人就擁有呢啲data。如果data已經匿名化或經過偽名化處理,咁就係另一回事。
要注意嘅係,我哋一直以嚟都喺留低大量嘅行為同經濟data。過去十年左右改變咗嘅係大data同機器學習嘅進步。而家企業儲存、處理大量data並從中做預測變得相對更容易/更平。任何推薦引擎(好似Amazon)本質上就係咁。
你有咩權利?
呢方面我好鍾意歐盟法規嘅清晰表述。我唔係喺呢篇第一篇文章辯論佢哋啱定錯。歐洲GDPR為消費者確立咗以下權利:
- 每個人擁有佢/佢嘅個人data
- 透明同同意:企業需要以透明同淺白嘅方式明確要求許可嚟儲存同處理個人data
- 安全:個人data應該受到合理嘅安全保障措施保護
- 撤回權利:喺任何時候,我哋都可以撤回對我哋data被處理或使用嘅同意
- 資訊同查閱個人data
- 更正權利
- 限制處理嘅權利
- 可攜性權利
- 等等
當然,GDPR亦都描述咗好多詳細嘅例外同豁免。
California消費者私隱法、Singapore個人data保護法同其他私隱法律雖然冇咁全面,但都講到類似嘅權利。 呢篇文章嘅內容就到呢度。
接下來,我會喺後續文章中探討一啲更棘手嘅topic:
- 歐盟嘅GDPR係咪過於規範性?
- 鑑於全球唔同嘅法律制度同經濟模式,我哋應唔應該有全球性嘅data私隱法?如果唔係,鑑於我哋世界嘅互聯互通/相互依存,我哋嘅全球方案應該係咩?
- 我哋點樣向前行?
- data私隱同創新之間嘅平衡,由醫療同教育開始?
- 點樣避免喺本地、國家同全球層面嘅data壟斷?
祝好,
Chandler
